ほとんどの人がパスワードの作成、記憶、そして保管が苦手であることは周知の事実です。企業はこの問題に対処するため、パスワード要件の複雑化から、大規模なデータ侵害事件後の強制的なパスワードリセットまで、様々な方法を試してきました。しかし、パスワードの有効期限切れほどイライラさせられるものはありません。そのため、MicrosoftはWindows 10のパスワード有効期限ポリシーを廃止することを決定しました。
マイクロソフトは、パスワードの有効期限ポリシーが現実世界でどのように機能しているかを再検討することで、この結論に至りました。その結果、パスワードの有効期限を一定期間に限定することは、利便性の観点からもセキュリティの観点からも、特に有益ではないことが判明しました。そこでマイクロソフトは、この問題に加担し続けるのではなく、ベースラインを廃止し、他の企業がそれぞれのニーズについて検討することを推奨することにしました。
問題は次のとおりです:
パスワードを定期的に変更するよう強制すると、記憶に残りやすいため、同じ「基本」パスワードのバリエーション(例えば「Ilovemydog12」を「Ilovemydog13」に変更するなど)を使用するようになります。しかし、これは新しいパスワードを設定する意味を失わせます。なぜなら、不気味な灰色のパーカーを着るだけの価値のあるハッカーなら誰でも、侵入されたパスワードのバリエーションを試して、それが有効かどうかを確認しようとするからです。
パスワードの有効期限ポリシーは、一定期間内であればパスワードが侵害されても問題ないと想定しています。これは組織によって異なりますが、個人経営の雑貨店はフォーチュン500企業ほどシステムのセキュリティに気を配っていないのではないかと思われます。特に、盗難された認証情報による不正アクセスに対する唯一の防御手段として、有効期限付きのパスワードに頼っている場合は、問題が深刻です。
パスワードは頻繁に忘れられます。これは最初の問題にも関連しますが、一定期間ごとにパスワードを自動的に期限切れにする組織にとっては新たな課題となる可能性があります。忘れっぽい従業員に新しいアカウントを作成させるべきでしょうか?IT部門はパスワードを好き勝手にリセットできるのでしょうか?「先週は正しく入力した」というパスワードを、何度入力したら問題が発生するのでしょうか?
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
パスワードベースのセキュリティシステムを使いこなすのが苦手な人がいるのは事実です。しかし、パスワード有効期限ポリシーは、「この人たちはパスワードを安全に管理しているとは信じられない」という問題を、彼らに新たなパスワードを作成させることで解決します。これは、既に鍵の管理に苦労している人の鍵を定期的に交換するのと同じくらい役に立ちません。MicrosoftがWindowsのパスワード有効期限ポリシーを廃止するという決定が、より多くの組織がセキュリティを維持するために実際に何が必要なのかを再考するきっかけとなることを期待しましょう。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
